Infogérance

RGPD, renforçons votre cybersécurité en respectant les normes et politiques en vigueur de votre secteur d’activité !

shutterstock_1283178532

Le règlement général sur la protection des données, communément appelé RGPD (GDPR en anglais), est applicable depuis le 25 mai 2018.

Préparez-vous !

  • Prestation de DPO externe
  • Mission de conformité
  • Abonnement à la plateforme numérique de pilotage de la conformité

Le règlement général sur la protection des données, communément appelé RGPD (GDPR en anglais), est applicable depuis le 25 mai 2018.

Cette obligation de conformité, effective en mai 2018, impose aux entreprises d'évaluer leurs systèmes de traitement des données actuels pour mettre en place une réponse à cette nouvelle norme.

Si le RGPD peut être perçu comme une contrainte, il est plus pertinent de le prendre comme une incitation à se doter de moyens et de systèmes adéquats pour protéger les données à caractère personnel face aux menaces actuelles. Les pénalités mises en place par cette nouvelle réglementation sont destinées à responsabiliser les entreprises et à les inciter à prendre des mesures suffisantes pour assurer la sécurité de ces données.

Le texte a trois objectifs :

  • Consolider les droits des personnes physiques,

  • Renforcer les pouvoirs des autorités européennes,

  • Responsabiliser les entreprises qui traitent les données à caractère personnel.

En effet, parmi les nouveautés mises en place dans cette législation, on compte notamment le droit à l’oubli, ainsi que le droit à la portabilité des données et à l’opposition de toute opération marketing.

Vis-à-vis des mineurs de moins de 16 ans, les entreprises sont désormais tenues de libeller les informations concernant le traitement des données en termes intelligibles pour les moins de 16 ans. Le consentement d’un parent ou tuteur légal est désormais obligatoire.

Par ailleurs, l’accountability est le principe fondamental du règlement européen. Il consiste en une responsabilisation plus forte des entreprises qui doivent être en mesure de démontrer à tout moment qu’elles respectent les principes relatifs aux traitements des données personnelles.

Si cette mesure s’adresse aux entreprises européennes, elle touche également toutes celles vendant des produits ou des services sur le marché européen. En effet, ce texte instaure un comité européen de protection des données qui surveille et garantit la bonne application du règlement au niveau européen.

Le RGPD instaure également la nomination obligatoire d’un délégué à la protection des données pour les entreprises du secteur public, pour les entreprises dont l’activité principale conduit à assurer un suivi systématique et à grande échelle des personnes (profilage), ou dont l’activité principale est attenante à des traitements à grande échelle de données sensibles (politiques, religieuses, ethniques, biométriques, sanitaires, judiciaires, etc.) ou relative à des condamnations pénales et certaines infractions.

Les entreprises doivent par ailleurs évaluer le degré de risque pour les droits et libertés des personnes physiques avant chaque lancement de produit et notifier à la Cnil dans les 72 heures qui suivent la découverte d’une violation de données à caractère personnel (incident de sécurité).

Elles doivent également notifier la violation de données à la personne concernée dans les meilleurs délais lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés de la personne physique afin qu'elle puisse prendre les précautions qui s'imposent.

Le RGPD prévoit deux niveaux de sanctions en cas de non-respect de la réglementation. En fonction des articles du règlement en infraction, des amendes administratives pourront s’appliquer pour un montant allant de 10 à 20.000.000 d'euros ou, dans le cas d'une entreprise, de 2 à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Un large chantier

Ce projet a pour but de créer des réflexes concernant la protection des données personnelles. Ces nouvelles mesures exigent davantage de vigilance de la part des entreprises, ainsi que des sous-traitants, qu’elles responsabilisent. Ce règlement amorce donc un large chantier à mener, notamment dans la révision des contrats, pour se prémunir en cas d’infogérance. Des travaux d’autant plus complexes que ces sociétés comptent souvent de nombreux interlocuteurs et impactent divers services.

Aujourd’hui, il appartient aux entreprises d’entamer dès maintenant les travaux nécessaires à l’adaptation du projet RGPD : évaluer l’outillage de sécurité des systèmes d’information et les dispositifs de sécurité existants, puis identifier les écarts et les faiblesses pour mettre en place une feuille de route de mise en conformité.

Ce diagnostic prend du temps et les actions qui pourront rendre les entreprises conformes à cette nouvelle réglementation seront chronophages.

Toutes les entreprises sont susceptibles de subir des attaques et des malveillances informatiques : il leur appartient de tout faire pour s’en prémunir.

Le projet RGPD veille à ce que les sociétés prennent conscience des enjeux fondamentaux qui se dessinent aujourd’hui.

Un large chantier

Ce projet a pour but de créer des réflexes concernant la protection des données personnelles. Ces nouvelles mesures exigent davantage de vigilance de la part des entreprises, ainsi que des sous-traitants, qu’elles responsabilisent. Ce règlement amorce donc un large chantier à mener, notamment dans la révision des contrats, pour se prémunir en cas d’infogérance. Des travaux d’autant plus complexes que ces sociétés comptent souvent de nombreux interlocuteurs et impactent divers services.

Aujourd’hui, il appartient aux entreprises d’entamer dès maintenant les travaux nécessaires à l’adaptation du projet RGPD : évaluer l’outillage de sécurité des systèmes d’information et les dispositifs de sécurité existants, puis identifier les écarts et les faiblesses pour mettre en place une feuille de route de mise en conformité.

Ce diagnostic prend du temps et les actions qui pourront rendre les entreprises conformes à cette nouvelle réglementation seront chronophages.

Toutes les entreprises sont susceptibles de subir des attaques et des malveillances informatiques : il leur appartient de tout faire pour s’en prémunir.

Le projet RGPD veille à ce que les sociétés prennent conscience des enjeux fondamentaux qui se dessinent aujourd’hui.